분류 전체보기15 Elastalert 활용, 보안 위협 이벤트 탐지 방법 소개 정보 보안 현업에서는 매일 지속적으로 발생하는 보안 위협 이벤트에 대해 정.오탐을 분류하는 업무는 매우 힘들고 지치는 일입니다. 이와 같은 이유로 대부분 위협이라고 판단할만한 이벤트에 대해서는 알람을 걸어 모니터링을 진행하고 있는데요. 이번 시간에는 Elasticsearch에 저장되는 보안 이벤트를 실시간으로 감시하여 정해진 Rule에 매칭되면 알람 통해 알려주는 오픈소스 Elastalert에 대해 살펴보고 실제 저희 회사에서 정해놓은 몇가지 Rule을 소개해드리도록 하겠습니다. Elastalert 오픈 소스 소개 ElastAlert는 Elasticsearch 데이터에서 이상 징후, 급격한 변화 또는 주목할 만한 패턴을 감지하고 알림을 제공하는 간단한 프레임워크입니다. Yelp는 데이터와 로그의 양이 지.. 정보 보안 이야기 2025. 4. 18. 더보기 ›› Arcsight & Elasticsearch 연동, 보안 로그 분석 플랫폼 개발 사례 제가 근무중인 회사는 ArcSight SEIM을 도입하여 현재 기업 내 모든 보안 이벤트 로그(서비스 및 사용자 PC)를 수집하고 있습니다. 평일기준 1일 용량은 Elastic 문서수 기준으로 약 6억~7억건 정도 됩니다. 아크사이트도 우수한 SIEM 솔루션이지만, 실제 운영 측면에서 몇 가지 문제점이 있어 개선하고자 Elastic Stack과 통합하는 프로젝트를 진행하게 되었습니다. 내가 생각하는 기존 Arcsigh 문제점 정리 여러 조건이 걸린 로그를 검색할 때 능숙하지 않으면 다루기가 힘듦.처음 운영 시 학습 곡선 및 진입 장벽이 높게 느껴질 수 있음.사용자 인터페이스(UI)가 명확하지 않음.사용자 맞춤 설정이 어려움(대시보드, 검색 조건 등).여러 기능이 있지만 실제 운영 환경에서의 활용도는 관리.. 정보 보안 이야기 2025. 4. 17. 더보기 ›› IPAM, IP 주소 관리 자동화 스크립트 개발 사례 현재 필자가 근무중인 회사에서는 IP관리를 스크립트를 개발하여 IP가 추가되거나 삭제 혹은 사용하지 않는 IP를 자동 관리하고 있습니다. 다양한 공개된 오픈소스를 활용하여 IP를 자동화 관리하는 방법을 소개해드리도록 하겠습니다. 인프라 관리 측면에서 실무에 조금이라도 도움이 되었으면 합니다. IP 관리를 자동화하기 위한 주요 팁 현재 저희 회사는 112개의 VLAN, 각 VLAN이 c 클래스로 운영되는 구조 하에 총 24,892개의 IP를 할당받아 관리하고 있습니다. 이러한 환경에서 사용 중인 IP의 갯수는 현재 10,385개이며, 이는 계속해서 증가하는 추세를 보이고 있습니다. IPAM(IP 주소 관리 툴)에 대해서는 여러 가지 오픈소스 솔루션이 존재하지만, 대부분 비슷한 기능을 가지고 있어 큰 차이.. 서버 네트워크 이야기 2025. 4. 16. 더보기 ›› EDR 꼭 필요할까요? 엔드포인트 보안의 중요성 이번 시간에는 EDR(Endpoint Detection & Response)이 보안 분야에서 왜 필요하며 엔드포인트 보안 전략의 핵심으로 언급되고 있는지 자세하게 알아보는 시간을 갖도록 하겠습니다. 본문 내용은 실제 현업에서 제가 자료를 조사하고 실제 필자의 생각을 정리한 내용이니 같은 직종이 있는 분들께 조금이라도 도움이 되길 희망합니다. 보안 위협의 실태 기업정보 유출 과정 사례 최근 사이버 보안 위협은 PC와 스마트폰 등 엔드포인트 단말과 직접 연관되는 경우가 많습니다. 공격자는 어렵게 네트워크를 침입하기보다 표적 기업의 직원 PC를 타켓으로 공격 합니다. 노출된 개인정보와 SNS에 올라간 정보를 수집하여 표적 기업 정보를 수집합니다. 수집된 정보 기반으로 스피어피싱 이메일 공격을 진행하며 표적이.. 정보 보안 이야기 2025. 4. 15. 더보기 ›› SECaaS(서비스형 보안) 이란? 현재 시장은? 이번 포스팅에서는 최근 몇 년전 부터 부각되고 있는 SECaaS란 무엇인지에 대해서 살펴보고 현재 시장은 얼마나 발전하고 있는지 확인해보는 시간을 갖도록 하겠습니다. 현재 저희 회사에서도 일부 보안 서비스를 SECaaS 형태로 유료로 사용중인 부분이 있는데요. 초기 큰 비용 부담이 없다는게 큰 장점으로 느끼고 있습니다. SECaaS란 무엇인가요? 보안 서비스형 소프트웨어(Security as a Service, SECaaS)는 보안 관련 서비스를 클라우드 기반의 인터넷을 통해 필요할 때마다 제공하는 서비스 모델입니다. 이를 이용하는 고객들은 고가의 초기 장비 설치 없이 보안 전문가들이 운영하는 다양한 보안 서비스를 저렴한 월정액 구독 모델로 제공합니다. 이는 특히, 보안 인력에 대한 투입 비용을 절감하.. 정보 보안 이야기 2025. 4. 12. 더보기 ›› 이전 1 2 3 다음
